Nächste: X.509-Zertifikate, Vorige: Dienste, Nach oben: Systemkonfiguration [Inhalt][Index]
Manche Programme müssen mit erhöhten Berechtigungen ausgeführt werden,
selbst wenn Nutzer ohne besondere Berechtigungen sie starten. Ein bekanntes
Beispiel ist das Programm passwd, womit Nutzer ihr Passwort ändern
können, wozu das Programm auf die Dateien /etc/passwd und
/etc/shadow zugreifen muss – was normalerweise nur der
„root“-Nutzer darf, aus offensichtlichen Gründen der
Informationssicherheit. Deswegen sollte passwd setuid-root
sein, d.h. es läuft immer mit den Administratorrechten des root-Nutzers,
egal wer sie startet (siehe How Change Persona in Referenzhandbuch der GNU-C-Bibliothek für mehr Informationen über den
setuid-Mechanismus).
Der Store selbst kann keine setuid-Programme enthalten: Das wäre eine Sicherheitslücke, weil dann jeder Nutzer auf dem System Ableitungen schreiben könnte, die in den Store solche Dateien einfügen würden (siehe Der Store). Wir benutzen also einen anderen Mechanismus: Statt auf den ausführbaren Dateien im Store selbst deren setuid-Bit oder setgid-Bit zu setzen, lassen wir den Systemadministrator deklarieren, welchen Programmen diese zusätzlichen Berechtigungen gewährt werden.
Das Feld setuid-programs einer operating-system-Deklaration
enthält eine Liste von <setuid-program>-Objekten, die die Namen der
Programme angeben, deren setuid- oder setgid-Bits gesetzt werden sollen
(siehe Das Konfigurationssystem nutzen). Zum Beispiel kann das Programm
mount.nfs, was Teil des Pakets nfs-utils ist, so setuid-root
werden:
(setuid-program
(program (file-append nfs-utils "/sbin/mount.nfs")))
Um mount.nfs also mit setuid auszuführen, tragen Sie das vorige
Beispiel in Ihre Betriebssystemdeklaration ein, indem Sie es an
%setuid-programs anhängen wie hier:
(operating-system
;; Davor stehen andere Felder …
(setuid-programs
(append (list (setuid-program
(program (file-append nfs-utils "/sbin/mount.nfs"))))
%setuid-programs)))
Dieser Datentyp steht für ein Programm, bei dem das setuid- oder setgid-Bit gesetzt werden soll.
programEin dateiartiges Objekt, dessen setuid- und/oder setgid-Bit gesetzt werden soll.
setuid? (Vorgabe: #t)Ob das setuid-Bit für den Benutzer gesetzt werden soll.
setgid? (Vorgabe: #f)Ob das setgid-Bit für die Benutzergruppe gesetzt werden soll.
user (Vorgabe: 0)Benutzeridentifikator (UID, als ganze Zahl) oder Benutzername (als Zeichenkette) des Benutzers, dem das Programm gehören soll, nach Vorgabe der Administratornutzer root.
group (Vorgabe: 0)GID (als ganze Zahl) oder Gruppenname (als Zeichenkette) der Benutzergruppe, der das Programm gehört, nach Vorgabe die Benutzergruppe root.
Eine vorgegebene Menge von setuid-Programmen wird durch die Variable
%setuid-programs aus dem Modul (gnu system) definiert.
Eine Liste von <setuid-program>-Objekten, die übliche Programme
angeben, die setuid-root sein müssen.
Die Liste enthält Befehle wie passwd, ping, su
und sudo.
Intern erzeugt Guix die eigentlichen setuid-Programme im Verzeichnis /run/setuid-programs, wenn das System aktiviert wird. Die Dateien in diesem Verzeichnis verweisen auf die „echten“ Binärdateien im Store.
Nächste: X.509-Zertifikate, Vorige: Dienste, Nach oben: Systemkonfiguration [Inhalt][Index]